TA0043 Reconnaissance 信息侦查

ATT&CK_red.png

TA0043 Reconnaissance侦查

T1595 Active Scanning 主动扫描

对手可能会执行主动侦察扫描来收集能在攻击期间使用的信息。主动扫描是通过网络流量探测受害者基础设施的扫描，而不是与受害者直接交互的其他形式的侦查。攻击者可能会根据他们寻求收集的信息执行不同形式的主动扫描。 这些扫描也可以通过各种方式执行，包括使用网络协议（如 ICMP）的本机功能。[1][2] 这些扫描的信息可能会揭示其他形式的侦察机会（例如：搜索开放网站/域名或者搜索开源的数据库）

缓解措施

• 这种技术无法通过预防控制轻松缓解，应该最大限度的减少可供外部使用的数据的数量和敏感程度。

• 禁止ping

• 合理配置web服务器，不暴露服务器敏感信息，版本信息

检测

• 使用边界流量防御设备，如IPS。监控那些可能是扫描的流量，比如来自单一来源的大量流量（特别是该流量来源与已知的攻击者/僵尸网络相关联）分析web元数据，http/https中的user-agent也可以显示一些恶意行为

• 利用威胁情报能力，确认的恶意IP直接封禁,

IP段扫描工具及方法
Google语法
site:211.69.130.*Í

FOFA、Shodan
https://fofa.so/
https://www.shodan.io/
ip="211.69.130.0/24"

Nmap、Masscan
nmap -p 80,443,8080 -Pn 211.69.130.0/24

masscan -p 80,443,8080 -Pn --rate=1000 211.69.130.0/24

目录爆破：

• dirb
• dirsearch
• dirbuster

子技术1:T1595.001 Scanning IP Blocks 扫描IP段

简介
攻击者会收集被害者的IP块，公网IP 地址可以按块或一系列连续地址分配给组织。攻击者会扫描IP块来收集受害者网络信息，例如哪些IP正在使用当中，扫描范围可能从简单的 ping（ICMP 请求和响应）到更细粒度的扫描，这些扫描可能通过服务器标志或其他网络工件显示出主机上的软件/版本。

fping

masscan

缓解措施：同T1595

检测：同T1595

子技术2:T1595.002 Vulnerability Scanning 漏洞扫描

漏洞扫描通常会检查目标主机/应用程序（例如：软件和版本）的配置是否可能与攻击者可能寻求使用的特定漏洞保持一致。是否存在常见的可供利用的漏洞

检测：

• 使用边界流量防御设备，如IPS。监控那些可能是扫描的流量，比如来自单一来源的大量流量（特别是该流量来源与已知的攻击者/僵尸网络相关联）
• 分析web元数据，http/https中的user-agent也可以显示一些恶意行为
• 检测工作可能集中在攻击的生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 这种技术无法通过预防控制轻松缓解，应该最大限度的减少可供外部使用的数据的数量和敏感程度。
• URL内容检测，语义分析
• URL字典匹配

常见漏扫工具：

* Xray XRAY是一个不开源的漏扫，可以写爬虫爬取URL以后进行批量扫描，也可以扫描单个url github:https://github.com/chaitin/xray
* AWVS
* Goby Goby是FOFA创世人写的国产漏扫，不开源，插件系统丰富
* GVM/OpenVAS
* Nessus
* RSAS
* Tsunami Tsunami是一个google开源的通用网络安全扫描器，它有一个可以检测高危漏洞的可扩展的插件系统  
github：https://github.com/google/tsunami-security-scanner

T1592 Gather Victim Host Information 收集受害者主机信息

攻击者可能会收集有关受害者主机的信息，这些信息可在攻击时中使用。有关主机的信息可能包括各种详细信息，包括管理数据（例如：名称、分配的 IP、功能等）以及有关其配置的详细信息（例如：操作系统、语言等）。

使用工具:

• nmap

检测：

• 检测工作可能集中在攻击的生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术1: T1592.001 Hardware 硬件

有关硬件基础设施的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及其他防御性的硬件设备：卡/生物指标识别（指纹，虹膜，面部识别）、专用加密硬件等。
检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术2: T1592.002 Software 软件

有关已安装软件的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及表明可能增加了防御性保护组件（例如：防病毒、SIEM 等）。
检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术3: T1592.003 Firmware 固件

有关主机固件的信息可能包括各种详细信息，例如特定主机上的类型和版本，这些信息可用于推断有关环境中主机的更多信息（例如：配置、用途、年龄/补丁级别等）有关主机固件的信息也可能通过在线或其他可访问的数据集（例如：职位发布、网络地图、评估报告、简历或购买发票）暴露给对手。
检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术4: T1592.004 Client Configurations 客户端配置

有关客户端配置的信息可能包括各种详细信息和设置，包括操作系统/版本、虚拟化、架构（例如：32 位或 64 位）、语言和/或时区。

工具：

XSS Beef

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

T1589 Gather Victim Identity Information 收集受害者身份信息

简介：
攻击者可能会收集有关受害者身份的信息,有关身份的信息可能包括各种详细信息，包括个人数据（例如：员工姓名、电子邮件地址等）以及凭据等敏感详细信息。攻击者可以通过各种方式收集这些信息，例如通过钓鱼信息直接获取。有关受害者的信息也可能通过在线或其他可访问的数据集（例如：社交媒体或搜索受害者拥有的网站）暴露给对手。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术1: T1589.001 Credentials 凭据

攻击者可能会收集可在目标定位期间使用的凭据。攻击者收集的帐户凭据可能是与目标受害组织直接相关的凭据，或者试图利用用户在个人和企业帐户中使用相同密码的趋势。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术2: T1589.002 Email Addresses 电子邮件地址

攻击者可能会收集受害者的电子邮件地址，用于进行下一步的攻击行为。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术3: T1589.003 Employee Names 员工姓名

攻击者可能会收集员工姓名，员工姓名可以用于

*   派生电子邮件
*   指导其他侦查工作
*   制作更可信的诱饵

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

T1590 Gather Victim Network Information 收集受害者网络信息

攻击者可能会收集有关受害者网络的信息。有关网络的信息可能包括各种详细信息，包括管理数据（例如：IP 范围、域名等）以及有关其拓扑和操作的详细信息。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术1: T1590.001 Domain Properties 域名属性

攻击者可能会收集有关受害者网络域的信息。有关域及其属性的信息可能包括各种详细信息，包括受害者拥有的域以及管理数据（例如：姓名、注册商等）以及更直接可操作的信息，例如联系人（电子邮件地址和电话号码）、公司地址和名称服务器。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术2: T1590.002 DNS DNS信息

攻击者可能会收集有关受害者 DNS 的信息，这些信息可在定位过程中使用。DNS 信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术3: T1590.003 Network Trust Dependencies 网络信任依赖项

攻击者可能会收集有关受害者网络信任依赖关系的信息。有关网络信任的信息可能包括各种详细信息，包括已连接（并可能提升）网络访问权限的第二或第三方组织/域（例如：托管服务提供商、承包商等）。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术4: T1590.004 Network Topology 网络拓扑

攻击者可能会收集有关受害者网络拓扑的信息。关于网络拓扑的信息可以包括各种细节，包括面向外部和内部网络环境的物理和/或逻辑布置。该信息还可能包括有关网络设备（网关、路由器等）和其他基础设施的细节。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术5: T1590.005 IP Addresses IP地址

攻击者可能会收集受害者的 IP 地址。公共 IP 地址可以按块或一系列连续地址分配给组织。有关分配的 IP 地址的信息可能包括各种详细信息，例如正在使用哪些 IP 地址。IP 地址还可以让攻击者获得有关受害者的其他详细信息，例如组织规模、物理位置、互联网服务提供商和/或他们面向公众的基础设施的托管位置/方式。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术6: T1590.006 Network Security Appliances 网络安全设备

攻击者可能会收集有关受害者网络安全设备的信息，有关网络安全设备的信息可能包括各种详细信息，例如部署的防火墙、内容过滤器和代理/堡垒主机的存在和细节。攻击者还可能将有关基于受害者网络的入侵检测系统 (NIDS) 或与防御性网络安全操作相关的其他设备的信息作为目标。

WAF识别：

wafw00f是一个Web应用防火墙（WAF）指纹识别的工具。

工作原理：

1. 发送正常的HTTP请求，然后分析响应，这可以识别出很多WAF。

2. 如果不成功，它会发送一些（可能是恶意的）HTTP请求，使用简单的逻辑推断是哪一个WAF。

3. 如果这也不成功，它会分析之前返回的响应，使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

T1591 Gather Victim Org Information 收集受害者组织信息

攻击者可能会收集有关受害者组织的信息，这些信息可在定位过程中使用。有关组织的信息可能包括各种详细信息，包括部门名称、业务运营细节以及关键员工的角色和职责。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术1：T1591.001 Determine Physical Locations 确定物理位置

攻击者可能会收集受害者的物理位置，包括关键资源和基础设施所在的位置。物理位置还可以表明受害者在哪些法律管辖范围和/或权力机构内运作。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术2：T1591.002 Business Relationships 业务关系

攻击者可能会收集有关受害者业务关系的信息，包括已连接（并可能提升）网络访问权限的第二或第三方组织/域（例如：托管服务提供商、承包商等）。该信息还可能揭示受害者硬件和软件资源的供应链和运输路径。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术3：T1591.003 Identify Business Tempo 确定业务节奏

攻击者可能会收集有关受害者业务节奏的信息，包括工作时间/一周中的天数。该信息还可能揭示受害者的硬件和软件资源的购买和发货时间/日期。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术4：T1591.004 确定角色

攻击者可能会收集有关受害者组织内身份和角色的信息，有关业务角色的信息可能会揭示各种可定位的详细信息，包括关键人员的可识别信息以及他们有权访问的数据/资源。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

T1598 Phishing for Information 钓鱼信息

攻击者可能会发送网络钓鱼消息以获取可在定位过程中使用的敏感信息。信息网络钓鱼试图诱使目标泄露信息、通常是凭据或其他可操作信息。信息网络钓鱼与网络钓鱼的不同之处在于，其目标是从受害者那里收集数据，而不是执行恶意代码。

缓解措施：

• 提交安全意识，用户可以接受培训以识别社会工程技术和鱼叉式网络钓鱼尝试
• 使用反欺骗和电子邮件身份验证机制根据发件人域的有效性检查（使用 SPF）和邮件的完整性（使用 DKIM）过滤邮件。在组织内启用这些机制（通过 DMARC 等策略）可以使收件人（组织内和跨域）能够执行类似的消息过滤和验证。

检测：

• 监控可疑活动的社交媒体流量，包括请求信息的消息以及异常文件或数据传输（尤其是那些涉及未知或其他可疑帐户的）
• 当涉及到以下链接时，请监视对未分类或已知不良站点的引用。电子邮件中的 URL 检查（包括扩展缩短的链接）还可以帮助检测通向已知恶意站点的链接。
• 根据网络钓鱼的具体方法，检测可能会有所不同。监控可疑的电子邮件活动，例如多个帐户接收来自单个异常/未知发件人的邮件。基于 DKIM+SPF 或标头分析的过滤可以帮助检测电子邮件发件人何时被欺骗。

子技术1: T1598.001 Spearphishing Service 鱼叉式钓鱼邮件服务

攻击者可能会通过第三方服务发送鱼叉式网络钓鱼消息，以获取敏感信息。鱼叉式网络钓鱼通常涉及社会工程技术，例如冒充有理由收集信息的来源，或发送多个看似紧急的消息。

eg: Apple设备丢失后，通过欺骗用户获取Apple ID

缓解措施：

• 提交安全意识，用户可以接受培训以识别社会工程技术和鱼叉式网络钓鱼尝试

检测：

• 监控可疑活动的社交媒体流量，包括请求信息的消息以及异常文件或数据传输（尤其是那些涉及未知或其他可疑帐户的）

子技术2: T1598.002 Spearphishing Attachment 鱼叉式附件

攻击者可能会发送带有恶意附件的鱼叉式钓鱼邮件，以获取敏感信息。鱼叉式钓鱼信息试图诱使目标泄露信息、通常是凭据或其他可操作信息。信息鱼叉式网络钓鱼通常涉及社会工程技术，例如冒充有理由收集信息的来源，或发送多个看似紧急的消息。

检测：

• 提高用户安全意识，用户可以接受培训以识别社会工程技术和鱼叉式网络钓鱼尝试。
• 使用反欺骗和电子邮件身份验证机制根据发件人域的有效性检查（使用 SPF）和邮件的完整性（使用 DKIM）过滤邮件。在组织内启用这些机制（通过 DMARC 等策略）可以使收件人（组织内和跨域）能够执行类似的消息过滤和验证。

缓解措施：

• 监控可疑的电子邮件活动，例如多个帐户接收来自单个异常/未知发件人的邮件。
• 基于 DKIM+SPF 或标头分析的过滤可以帮助检测电子邮件发件人何时被欺骗。

子技术3: T1598.003 Spearphishing Link 鱼叉式钓鱼链接

攻击者可能会发送带有恶意链接的鱼叉式网络钓鱼消息。鱼叉式钓鱼链接试图诱使目标泄露信息、通常是凭据或其他可操作信息。鱼叉式钓鱼链接通常涉及社会工程技术，例如冒充有理由收集信息的来源，或发送多个看似紧急的消息。

缓解措施：

• 使用反欺骗和电子邮件身份验证机制根据发件人域的有效性检查和邮件的完整性过滤邮件
• 用户培训，培养良好的安全意识，识别社会工程学技术和鱼叉式钓鱼邮件，提高警惕性。

检测：

• 监控可疑的电子邮件活动，Antispam
• 基于 DKIM+SPF 或标头分析的过滤可以帮助检测电子邮件发件人何时被欺骗。
• 对邮件中出现的链接可以使用威胁情报帮助判断是否恶意
• 监视对未分类或已知不良站点的引用。电子邮件中的 URL 检查（包括扩展缩短的链接）还可以帮助检测通向已知恶意站点的链接。

T1597 Search Closed Sources 搜索闭源数据

攻击者可能会从封闭来源中搜索和收集有关受害者的信息。可以从信誉良好的私人来源和数据库购买有关受害者的信息，例如付费订阅技术/威胁情报数据源。攻击者还可能从信誉较差的来源购买信息，例如暗网或网络犯罪黑市。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

子技术1: T1597.001 Threat Intel Vendors 威胁情报供应商

攻击者可能会从威胁情报供应商处搜索私人数据。威胁情报供应商可能会提供付费订阅源或门户。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术2: T1597.002 Purchase Technical Data 购买技术数据

攻击者可能会购买有关受害者的技术信息。可以在信誉良好的私人资源和数据库中购买有关受害者的信息，例如付费订阅扫描数据库的提要或其他数据聚合服务。攻击者还可能从信誉较差的来源购买信息，例如暗网或网络犯罪黑市。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

T1596 Search Open Technical Databases 搜索公开的技术数据库

攻击者可以在免费的技术数据库中搜索受害者信息。有关受害者的信息可以在在线数据库和存储库中获得，例如域/证书的注册以及从流量和/或扫描中收集的集合。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术1: T1596.001 DNS/Passive DNS DNS/被动DNS

攻击者可能会在 DNS 数据中搜索有关受害者的信息，这些信息可在定位过程中使用。DNS 信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

工具：

VT API

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术2: T1596.002 WHOIS WHOIS信息

攻击者可能会搜索 WHOIS 数据以收集可操作的信息。威胁行为者可以使用在线资源或命令行实用程序来掠夺 WHOIS 数据以获取有关潜在受害者的信息。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

常见的在线whois查询网站：

Whois站长之家查询：http://whois.chinaz.com/

阿里云中国万网查询：https://whois.aliyun.com/

Whois Lookup 查找目标网站所有者的信息：http://whois.domaintools.com/

Netcraft Site Report 显示目标网站上使用的技术：http://toolbar.netcraft.com/site_report?url=

Robtex DNS 查询显示关于目标网站的全面的DNS信息：https://www.robtex.com/

全球Whois查询：https://www.whois365.com/cn/

站长工具爱站查询：https://whois.aizhan.com/

常用查询工具

nslookup
whois
dig
dnsmap

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术3: T1596.003 Digital Certificates

攻击者可以搜索数字证书数据以收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关证书的信息。数字证书数据也可以从组织签名的工件中获得。

证书搜集网站

crt.sh：https://crt.sh

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术4: T1596.004 CDNs

CDN的全称是Content Delivery Network，即内容分发网络。攻击者可能会搜索 CDN 数据以收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关 CDN 中内容服务器的信息。找到真实的服务器IP。

判断网站是否使用CDN

设置代理或者通过在线ping网站来在不同地区进行ping测试，然后对比每个地区ping出的IP结果，查看这些IP是否一致，一致，则极有可能不存在CDN。根据 CDN 的工作原理，如果网站使用了 CDN，那么从全国各地访问网站的 IP 地址是各个 CDN 节点的 IP 地址，那么如果ping出来的IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。有以下网站可以进行ping测试：

http://ping.chinaz.com/
https://www.wepcc.com
https://www.17ce.com

可以看到多个地点解析的IP是相同的，该网站没有使用CDN。

image-20211018142352244.png

此网站使用了CDN服务。

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

查找真实IP的方法：

子技术5: T1596.005 Scan Databases 扫描数据库

攻击者可以在公共扫描数据库中搜索有关受害者的信息。

• shodan
• zoomeye
• fofa

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

T1593 Search Open Websites/Domains搜索公开的网站/域名

在社交媒体，招聘网站等公开的渠道获取受害者的详细信息

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术1: T1593.001 Social Media 社交媒体

攻击者可能会在社交媒体上搜索有关受害者的信息，社交媒体站点可能包含有关受害组织的各种信息，例如商业公告以及有关员工角色、位置和兴趣的信息。 

*   Twitter
*   Linkedin
*   weibo

缓解措施：

• 应该努力减少可供外部各方使用的数据的数量和敏感性。

检测：

• 检测工作可能集中在对手生命周期的相关阶段，例如在初始访问期间。

子技术2: T1593.002 Search Engines 搜索引擎

攻击者可能会使用搜索引擎来收集有关受害者的信息。搜索引擎服务通常会抓取在线站点以索引上下文，并且可以为用户提供专门的语法来搜索特定关键字或特定类型的内容（即文件类型）

• 使用Google语法收集信息

intext：寻找正文中含有关键字的网页
intitle：寻找标题中含有关键字的网页
allintitle：用法和intitle类似，只不过可以指定多个词
inurl：搜索url中含有关键词的网页
allinurl：用法和inurl类似，只不过可以指定多个词
site：指定访问的站点
filetype：指定访问的文件类型
link：指定链接的网页
related：搜索相似类型的网页
info：返回站点的指定信息，例如：info:www.baidu.com   将返回百度的一些信息
phonebook：电话簿查询美国街道地址和电话号码信息
Index of：利用 Index of 语法可以发现允许目录浏览的web网站，就像在本地的普通目录一样

各种敏感数据收集：

filetyle:xls inurl:gov username password

inurl:phpmyadmin/main.php intitle:phpmyadmin

filetype:inc inurl:config.inc host

filetype:sql cdb_members inurl:forumdata

filetype:txt inurl:"新建文本文档.txt"密码

inurl:phpinfo.php intitle:"phpinfo()""PHP Version"+"Server API"

filetype:log inurl:log mdb

inurl:index.php.bak

intitle:index.of index.php.bak

• 使用GHDB 谷歌黑客数据库

  链接：https://www.exploit-db.com/google-hacking-database

  这是全世界的黑客朋友们自发维护的一个汇集着各种已经被优化的查询语句的数据库，每天都在不断地更新各种好用有效的Google查询语句。

image-20211018111658760.png

T1594 Search Victim-Owned Websites 搜索受害者拥有的网站

攻击者可能会在受害者拥有的网站上搜索可在定位过程中使用的信息。受害者拥有的网站可能包括部门，部门名称、实际位置以及关键员工的数据，例如姓名、职位和联系信息，电子邮件地址。

检测：

• 网络爬虫的快速请求，来自单一来源的大量请求（特别是该来源和已知对手关联）
• 使用HTTP/HTTPS代理

缓解措施：

应该努力减少可供外部各方使用的数据的数量和敏感性。

参考文献
(1) Web指纹识别技术研究与优化实现